As agências de segurança cibernética e inteligência dos EUA divulgaram na terça-feira,4, que vários grupos de hackers de estados-nações potencialmente visaram uma rede corporativa da “Base Industrial de Defesa (DIB) Setor” como parte de uma campanha de espionagem cibernética, informou o site The Hacker News.
“Os atores [de ameaças persistentes avançadas] usaram um kit de ferramentas de código aberto chamado Impacket para se firmar no ambiente e comprometer ainda mais a rede, e também usaram uma ferramenta de exfiltração de dados personalizada, CovalentStealer, para roubar os dados confidenciais da vítima”, disseram as autoridades.
O comunicado conjunto , de autoria da Agência de Segurança Cibernética e Infraestrutura (CISA), do Federal Bureau of Investigation (FBI) e da Agência de Segurança Nacional (NSA), disse que os adversários provavelmente tinham acesso de longo prazo ao ambiente comprometido.
As descobertas são o resultado dos esforços de resposta a incidentes da CISA em colaboração com uma empresa de segurança terceirizada confiável de novembro de 2021 a janeiro de 2022. Ela não atribuiu a invasão a um agente ou grupo de ameaças conhecido.
O vetor de infecção inicial usado para violar a rede também é desconhecido, embora alguns dos atores do APT tenham obtido uma cabeça de ponte digital para o Microsoft Exchange Server do alvo em meados de janeiro de 2021.
As atividades subsequentes de pós-exploração em fevereiro envolveram uma combinação de esforços de reconhecimento e coleta de dados, o último dos quais resultou na exfiltração de informações confidenciais relacionadas a contratos. Também implantada durante esta fase foi a ferramenta Impacket para estabelecer a persistência e facilitar o movimento lateral.